Axie Infinity's . के बाद से सबसे व्यापक हैक्स में से एक में रोनिन ब्रिज साइडचेन मार्च में, घुमंतू टोकन पुल पर एक कारनामे ने हमलावरों को लगभग 190 मिलियन डॉलर का पुल लूटने की अनुमति दी थी।
सुरक्षा फर्म पेकशील्ड ने बताया डिक्रिप्ट कि चोरी की गई धनराशि में मूल्यवर्गित किया गया Ethereum, यूएसडीसी, डीएआई, एफएक्सएस, और सीक्यूटी।
“हम घुमंतू टोकन पुल से जुड़ी घटना से अवगत हैं। हम वर्तमान में जांच कर रहे हैं और हमारे पास होने पर अपडेट प्रदान करेंगे," घुमंतू ट्वीट किए सोमवार की दोपहर।
हम घुमंतू टोकन पुल से जुड़ी घटना से अवगत हैं। हम वर्तमान में जांच कर रहे हैं और हमारे पास होने पर अपडेट प्रदान करेंगे।
घुमंतू पुल एक प्रोटोकॉल है जो उपयोगकर्ताओं को विभिन्न ब्लॉकचेन के बीच डिजिटल संपत्ति को स्थानांतरित करने की अनुमति देता है, जिसमें शामिल हैं हिमस्खलन (एवैक्स), Ethereum (ETH), एवमोस (EVMOS), मिल्कोमेडा C1, और मूनबीम (GLMR)।
घुमंतू टीवीएल गिर गया क्योंकि प्रोटोकॉल से धन हटा लिया गया था। छवि: डेफी लामा.
जबकि घुमंतू के विवरण दुर्लभ हैं, कुछ ने कॉन्फ़िगरेशन त्रुटि की ओर इशारा किया है a स्मार्ट अनुबंध घुमंतू संदेशों को कारण के रूप में संसाधित करने के लिए उपयोग करता है, जिससे लाखों लोगों को घुमंतू के तरलता पूल से निकाला जा सकता है।
क्रिप्टो इन्वेस्टमेंट फर्म पैराडाइम के एक शोधकर्ता सैम सन ने ट्वीट किया, "यह सब तब शुरू हुआ जब @officer_cia ने ETHSecurity Telegram चैनल में @spreekaway के ट्वीट को साझा किया।" "हालांकि मुझे नहीं पता था कि उस समय क्या चल रहा था, पुल से निकलने वाली संपत्ति की भारी मात्रा स्पष्ट रूप से एक बुरा संकेत था।"
"यह पता चला है कि एक नियमित उन्नयन के दौरान," सूर्य ने जारी रखा। "घुमंतू टीम ने 0x00 होने के लिए विश्वसनीय रूट शुरू किया। स्पष्ट होने के लिए, प्रारंभिक मानों के रूप में शून्य मानों का उपयोग करना एक आम बात है। दुर्भाग्य से, इस मामले में हर संदेश को स्वतः सिद्ध करने का इसका एक छोटा सा दुष्प्रभाव था। ”
घुमंतू पुल पर हमला 'सभी के लिए एक उन्मादी मुक्त'
सन ने "एक उन्मादी मुक्त-सभी" के आगे क्या हुआ, इसकी तुलना की क्योंकि शोषण का लाभ उठाने के लिए इसमें बहुत कम तकनीकी ज्ञान था।
सन ने लिखा, "आपको सॉलिडिटी या मर्कल ट्री या ऐसा कुछ भी जानने की जरूरत नहीं है।" "आपको बस एक ऐसा लेन-देन ढूंढना था जो काम कर गया, दूसरे व्यक्ति के पते को अपने साथ ढूंढें / बदलें, और फिर उसे फिर से प्रसारित करें।"
इसी तरह, ब्लॉकचेन सुरक्षा फर्म प्रमाणिक रिपोर्ट है कि हमलावर केवल लेन-देन को कॉपी और पेस्ट करके बग का फायदा उठा सकते हैं। फर्म ने कहा कि लोग "मूल हैकर के लेनदेन कॉलडेटा की प्रतिलिपि बनाकर और मूल पते को व्यक्तिगत पते से बदलकर" अपग्रेड का फायदा उठा सकते हैं।
खानाबदोश पुल हैक की व्याख्या?
सभी श्रेय @samczsun अपने पोस्टमॉर्टम में सटीक भेद्यता का निदान करने के लिए भारी भार उठाने के लिए
a16z सुरक्षा इंजीनियर मैट ग्लीसन ने ट्वीट किया, "घुमंतू पुल का स्वामित्व क्यूबिट के QBridge के समान है।" "पुल के असुरक्षित कॉन्फ़िगरेशन ने किसी भी लेनदेन को भेजने की अनुमति देने के लिए एक विशिष्ट पथ का कारण बना। त्रुटि प्रतिकृति के 'प्रक्रिया' फ़ंक्शन के अंदर है।"
1/ घुमंतू पुल का स्वामित्व क्यूबिट के QBridge के समान है। पुल के असुरक्षित विन्यास ने किसी भी लेनदेन को भेजने की अनुमति देने के लिए एक विशिष्ट पथ का कारण बना। त्रुटि प्रतिकृति के "प्रक्रिया" फ़ंक्शन के अंदर है।
"सिस्टम किसी भी संदेश को स्वीकार करेगा जो उसने पहले कभी नहीं देखा है और इसे संसाधित करता है जैसे कि यह वास्तविक था, जिसका अर्थ है कि आपको बस पुल के सभी पैसे मांगना है और आप इसे प्राप्त करेंगे।"
एफटीसी के मुताबिक, साइबर हमले क्रिप्टो परियोजनाओं के खिलाफ 1 के बाद से क्रिप्टोकरंसी में $ 2021 बिलियन से अधिक की चोरी के साथ धीमा होने का कोई संकेत नहीं दिखता है।
क्रिप्टो समाचारों के शीर्ष पर रहें, अपने इनबॉक्स में दैनिक अपडेट प्राप्त करें।
